Организация комплексной системы защиты информации - [54]
2. Отдельную статью, связанную с конфиденциальностью, в которой бы содержалось следующее:
2.1. Под «Коммерческой тайной» понимаются носящие конфиденциальный характер сведения и их носители, полученные в рамках настоящего договора, и отвечающими следующим условиям:
— сведения и их носители, указанные в «Перечне сведений, составляющих коммерческую тайну»;
— сведения и их носители не являются общеизвестными или общедоступными из других источников;
— сведения и их носители не передавались работодателем в распоряжение других лиц без обязательства, касающегося их конфиденциальности;
2.2. Под «Разглашением коммерческой тайны» понимаются умышленные или неосторожные действия работника, приведшие к преждевременному, не вызванному служебной необходимостью, открытому опубликованию сведений, составляющих коммерческую тайну, либо к утрате документов с такими сведениями или бесконтрольному использованию и распространению этих сведений.
Предприятию необходимо разработать должностные инструкции сотрудников.
Необходимым организационно-правовым документом с точки зрения защиты информации для фирмы является должностная инструкция сотрудника. Такой документ должен содержать следующие разделы:
1. Общие положения;
2. Должностные обязанности;
3. Права.
Утверждается должностная инструкция руководителем или иным должностным лицом, уполномоченным утверждать должностные инструкции.
Предприятие должно разработать «Обязательство о неразглашении коммерческой тайны».
Следующим важным шагом с правовой точки зрения является разработка «Обязательства о неразглашении коммерческой тайны».
Разглашение информации, составляющей коммерческую тайну, — это «действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».
В обязательство должен быть включен пункт, который не позволял бы использовать любую информацию, полученную сотрудником в ходе выполнения им служебных обязанностей для осуществления любой деятельности несвязанной с этим предприятием.
И наконец, предприятию необходимо разработать «Подписку при увольнении с работы».
Очевидно, что некоторые сотрудники в силу обстоятельств могут покинуть фирму, соответственно необходимо учесть этот момент при правовом регулировании отношений с сотрудниками. В Обязательстве на этот счет сказано, что сотрудник обязуется в течение определенного времени после увольнения не разглашать сведения, ставшие известными ему по работе.
Политика по сохранению коммерческой тайны реализуется путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.
Защита и обработка конфиденциальных документов предусматривает:
— порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;
— систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую я тайну;
— обеспечение сохранности документов на различных носителях с грифом конфиденциальности;
— обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;
— принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющим коммерческую тайну;
— ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.
10. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Социотехнические системы, представляя собой единение человека и техники, всегда характеризуются определенными целями, которые ставят перед собой люди, достигая их с помощью технических средств, с которыми общаются через интеллектуального посредника. Причем цели и допустимые стратегии социотехнической системы в реальных ситуациях принятия решений по их защите зачастую субъективны и не могут быть точно определены. Это происходит преимущественно по той причине, что, помимо объективных законов, в их функционировании существенную роль играют субъективные представления, суждения, поступки и даже эмоции людей. Действительно, при исследовании безопасности объекта информатизации, расположенного на некотором предприятии, значительное количество информации об этом объекте может быть получено от различных групп людей:
а) имеющих опыт управления предприятием и представляющих его цели и задачи, но не знающих досконально особенностей функционирования объекта информатизации;
б) знающих особенности функционирования объекта информатизации, но не имеющих полного представления о его целях;
в) знающих теорию и практику организации защиты, но не имеющих четких представлений о целях, задачах и особенностях функционирования объекта информатизации как системы в целом и т. п.
Поэтому получаемая от них информация, как правило, носит субъективный характер, а ее представление на естественном языке, не имея аналогов в языке традиционной математики, содержит большое число неопределенностей типа «много», «мало» — если речь идет о вложениях денежных средств в совершенствование системы защиты; объекта или об изменении количества персонала, работающего в подразделениях его защиты; «не выполнены частично», «выполнены частично», «почти выполнены» и т. д. — если речь идет о выполнении требований руководящих документов по защите информации и т. д. Поэтому и описание подобной информации на языке традиционной математики обедняет математическую модель исследуемой реальной системы и делает ее слишком грубой.